ฝัง
- เผยแพร่เมื่อ 3 เม.ย. 2024
- Cette semaine a été dévoilé une attaque extremement sophistiqué sur un utilitaire constitutif de linux: xz. Cette attaque de haute voltige laisse pantois par sa complexité, sa sophistication et met en lumière des failles importantes dans la gouvernance de l'open source.
Sources mentionnées dans la vidéo:
- Timeline de l'attaque: research.swtch.com/xz-timeline
- Article Wired sur Jia Tan: www.wired.com/story/jia-tan-x...
- Board Fedora: lwn.net/ml/fedora-devel/788b0... - วิทยาศาสตร์และเทคโนโลยี
En quoi cela a un lien avec l'open source ? Au contraire justement, dans logiciel propriétaire personne n'aurait vu la faille.
Je suis d'accord avec toi. Mais "Avec le bateau, on a inventé le naufrage": l'OSS a ses propres vulnérabilités systémiques, et je crois que ce qui sidère le plus la communauté en la matière, c'est qu'on avait jusqu'à présent sous-estimé, ou éludé ces dernières. Je pense néanmoins qu'une réflexion profonde va suivre cet incident, pour mitiger ou du moins mieux encadrer ce risque.
@@ZeroDayCybersec Attention, vous employer des terme de manière inapropriée, linux est un logiciel libre et pas open-source, l'un est une construction sociale, l'autre est une construction marketing.
Merci pour ce débriefe très instructif !
La naivete agiliste de vite délivrer le code à contaminer meme Linux. Merci infiniment à celui qui a trouvé la brèche.
La faille est dans la philosophie agiliste qui atteint ses limites, pissage de code, client roi, soft-skills beni oui-oui.
Grande classe
Bravo
Contenue clair et très instructif. Je like et je m'abonne. J'ai été attaqué lors d'un tchat en direct sur un live par dénis de service en début d'année. C'est toujours intéressant de voir les techniques. Bien entendu mon PC étant un pot de miel il a été analysé immédiatement. Les résultats sont surprenant ainsi que l'identité des commettants.
Ils viennent d'où les commettants alors ?
@@chriscross6363 2 mots clef - police politique/voyoucratie. Parfois les russes ou chinois ont bon dos.
Tres bonne vidéo merci ! J'apprends des détails importants qui m'avaient échapper quand j'avais lu sur le sujet. Dommage de limiter la video à 10min, 15 à 20min ne ferait pas de mal, surtout sur un format ytb
Clair net, précis et concis . Il vulgarise tellement bien que plus long ce serait du remplissage inutile donc perso je l'encourage de continuer à eviter de meubler inutilement comme c'est la mode sur TH-cam.
Très intéressant pour le n00b que je suis.
Merci beaucoup pour la clarté de ta vidéo ! 👍👍👍
@jnrclp6710 En effet, c'est la première fois que quelqu'un m'explique les problématiques liées à l'open source et au hacking avec une telle pédagogie que je suis parvenu à comprendre les enjeux principaux, même si les détails techniques restent encore flous pour moi.👍
Je me questionnais sur la possibilité que derrières toutcela il y'avait peu etre un pays qui veux rendre vulnérables des infrastructures d importance....
t'es un génie toi dis donc !
c'est possible. Personnellement je pense que c'est une théorie peu probable mais après tout, rien ne nous prouve que ça n'est pas le cas
@@user-vs8px3rg4j Par contre toi tu n'apportes strictement rien au débat et en plus tu t'auto like ... bref😅
Salut à nos amis APT, S/o la NSA/CIA
Salut, ça va ? x)
Respect !! Je ne vois pas la raison de s'excuser..de la longueur de ta vidéo, le sujet étant éminemment pointu, ça prend le temps que TU es disposé à y consacrer ton expertise, ton talent.....Les zozos qui croient tout apprendre en un clic passeront leur chemins, et les autres continueront à te suivre, parce que tu as la passion et surtout le talent qui font toute la différence Respect et merci !!! cordialement.
Très bonne vidéo, 1 abonné de + !
moyen orient, europe ? je pense a EZRA non ?
Bonjour,
Bien que je sois assez à l'aise avec GNU/Linux, je n'ai aucune idée des risques pour le commun des mortels .
Pourriez-vous en parler comme à un débutant?
(si vous avez le temps évidemment)
Salut, incroyable video, n'hesite surtout pas a pousser la duree de tes videos, 20/25 minutes ca aurait ete encore plus incroyable
Et encore un titre putaclick. Ce n'est pas une attaque sur le noyau GNU/Linux mais sur XZ qui touche certaine distribution utilisant GNU/Lunix et cela touche aussi certiane distro BSD. Comme quoi une fois de plus être vrai dans les titres de vidéo c'est secondaire.
Bienvenue sur Internet, je vois que t'es nouveau.
Have fun
Je crois que lorsqu'il mentionne "la source" de linux dans le titre, il parle du système de validation par les pairs
Eh bien ça a fonctionné j'ai cliquer
Dans ce genre de cas il suffit de cliquer sur "ne plus recommander la chaine"....
M3rci
Très pédagogique !
Hello, merci pour cette vidéo. Honnêtement, elle aurait pu durer 10 min de plus, que j'aurais regardé. J'ai installé la fameuse version 5.6.1 de xz sur mon système archlinux ^^
J'ai un avis peut-être un peu extrême, mais pour moi, il ne faut pas diaboliser l'open-source, ni mettre en place un contrôle outre-mesure, tant que ces problèmes ne sont pas récurrents.
sa nest pas un os linux mais un kernel
Ce genre d'attaque n'est pas nouveau, au moins, sa à secoué un peu les puces de ceux qui font le forcing et permettre de trouver de nouvelles solutions de traçage de confiance, sa arrivera encore, tout ceux qui utilisent linux le sais, c'est aussi pour ça que sa reste un OS de confiance, si il y as une faille, membres de la communauté la trouveras sûrement, pas comme la dernière grosse faille de la grosse pomme, celle là, elle est vache, qui touche tout le matériel Mac OS...
La gouvernance, tout à fait. Il faudrait 2 équipes distinctes, une de coding, une de contrôle du code. Vue l’importance stratégique de linux, tout ne doit pas reposer sur quelques gourous.
mais si les 2 equipes sont russes ça reviendrait au même.
vivement que poutine et xi meurent, que ces pays arretent leurs délire de nous faire chier, sinon faudra leurs faire la guerre et les raser pour avoir la paix dans ce monde.
Les codeurs et les testeurs sont juste des contributeurs, peut-être qu'il en faut plus, et faut bien derriere un maintainer pour accepter les pull.
Tu t'excuses plusieurs fois pour la durée mais elle ne serait pas un problème si la vidéo racontait quelque chose. Par exemple, tu mets des effets dramatiques sans que ça apporte quoi que ce soit et tu définis des termes bateaux mais tu parles de gouvernance sans dire ce que tu entends par là et tu ne dis pas en quoi consiste réellement la faille. A cause de ça, ta vidéo ne s'adresse ni aux néophytes qui ne connaissent rien au domaine ni aux connaisseurs qui n'apprennent rien et, par analogie, voient des effets de style devant la déclaration d'amour bidon du début d'un film pour ado entre l'héroïne et le méchant vraiment très méchant.
Pas d'accord, j'ai beaucoup aimé.
Je suis néophyte et j'ai très bien compris ce qu'il me fallait comprendre, j'ai eu un aperçu d'actu sur un sujet important, et j'en retire beaucoup.
Peut être pas autant que dans une version parfaite et utopique de cette vidéo, mais ça a jusque là ma vie a été exempt d'utopie et je pense qu'elle le restera jusqu'à ma mort.
Tout ça pour dire que la critique est positive quand elle est mesurée et justifiée, et là je ne vois ni l'un ni l'autre.
Fuseau horaire moyen orient.
Pour rappel nso group disposait de faille Zeroday avant tout le monde
A Microsoft dude found a linux exploit. How fun.
I worked for a company selling and maintening a Microsoft professional management software. Everyone was on Linux at home...
The funniest part is to see that Linux can be fixed by anyone, even by a Microsoft worker, whereas Mirosoft will not be fixed by anyone but a Microsoft worker.
But yes it's amusing, not surprising imo but amusing.
The attack could come form a chines guy who lives in Europe, an expert hacker is not necessary a state or an organization, it could be for instance, a group of 15 people, each one of them have a PHD in Cybersecurity and/or system engineering.
Yes, until now the real identity of the attacker(s), remains a mistery.
L'open source n'a rien à voir avec la gratuité. L'open source, c'est le fait de mettre à disposition le code source d'un logiciel au lieu de le tenir secret comme le font certaines sociétés comme microsoft qui ne donne pas accès au code source de windows.
En fait, il y a des logiciels payants qui sont open source. Tout comme il y a des logiciels non open source qui sont gratuits.
Ceci est l'une des plus grossières erreurs de cette vidéo. Et il y en a d'autres.
Oui et d’ailleurs il vaut mieux éviter les terminologie "open source" et "linux" qui sont poussé par les industriels pour entretenir le flou et utiliser "logiciel libre" et "gnu".
Alors si t'écoute juste de 2:40 à 2:45 (5 secondes de concentration) , il dit "ils le font gratuitement... enfin la plupart, il y a quelques variantes". Avant ça il explique qu'il fait une parenthèse pour planter le décor à celles et veux qui ne connaissent pas l'univers linux. Dans une vidéo qui fait 10 minutes je pense que c'était compliqué d'être plus précis.
@@coucoucestmoi7635 C'est un spécialiste mais sa vulgarisation me semble a coté de la plaque, la première phrase est fausse : la spécificité de linux c'est pas que c'est open source mais libre. Ensuite parler de bénévolat serai mieux que de gratuitement. Puis la passion pour justifier le bénévolat ...
C'est a cause d'influenceur comme lui qu'on utilise "open source" pour dire "logiciel libre", "linux" au lieux de "gnu". "Passion" au lieux "d'engagement", ou au lieux de "sacrifice pour l’intérêt général" ou suivant les cas "d'arnaque de travail gratuit"...
Et si on parle vraiment de linux (noyau) ce qui semble pas être la cas dans sa vidéo la majorité écrasante des contributeurs sont des professionel payé. Bref y a rien qui va sur la présentation. Nonobstant même si le titre et pute a clic et parle d'une faille qui n'as rien avoir avec le noyau, la vidéo est intéressante et semble juste sur le cœur du sujet.
@@tiper2107 Tous ces termes, sont synonymes à mes yeux.
Et pourtant mon père est un pionnier et un grand amoureux du logiciel libre.
Autant dire que je pense que vous en demandez vraiment beaucoup, c'est bien d'être exigeant mais à trop en demander on finit juste par faire un contre son camp à mon avis.
L'exhaustivité est une bonne chose, mais si elle décourage de s'intéresser à un sujet, je pense qu'elle est complètement délétère.
Mieux vaut des vidéos simples et accessibles, même s'il faut pour cela vulgariser à fond, accompagnée de vidéo détaillées et approfondies en complément si besoin. Vive la vulgarisation.
@@Calozard QUOI !! tu as un père libriste et tu ne fait pas la différente entre une liberté et 4 ? Tu trouve que un noyau est synonyme d'un systèmes d'exploitation ? Ton père t'as appris que la justification du logiciel libre et de gnu c'est la passion ? Ton père t'a dit quoi des gens se batte depuis 40 ans et toutes les entreprise informatique utilise gnu et paie des salariés pour y contribué se formé dessus par lubie de passionné ?
Je demande a aucun moment qu'il dise plus de chose et certainement pas d’être exhaustif (impossible), mais je demande qu'il ne dise pas des choses fausse. Une vidéo qui propage des idées fausse est délétère, contre son camp, ... tous ce que tu veux de négatif. Regarde toi malgré un père libriste tu n'a mème plus les notion de base du sujet, je me demande même si tu as compris mon comentaire précédent, est ce que le soucis ne pourrait t'il pas venir car tu regarde des vidéos qui te paraisse crédible alors qu'il y a des erreur capitale ?
l'université du Minnesota avait déjà fait le coup
Bien vu! Je n'ai pas eu le temps de l'évoquer, mais c'est très pertinent: à l'époque d'ailleurs, les commentateurs sur les boards d'open source avaient pour beaucoup trouvé la démarche très irrespectueuse, et je ne sais pas dans quelle mesure cela a contribué à renforcer la gouvernance par la suite.
ça serait stupide pour les chinois et les russes d'attaquer Linux, ils n'ont plus que ce systeme.
Si "ils" (je met cela entre guillemets, car peu importe en réalité le responsable) ont connaissance de la vulnérabilité et que les autres non, au contraire: ils peuvent parfaitement utiliser des versions qui excluent le code malicieux, pour peu que tu contrôles le déploiement de tes systèmes. Par ailleurs, si "ils" sont les seuls à connaitre la vulnérabilité, même chose, c'est une arme à leur disposition. C'est le cas déjà aujourd'hui pour des vulnérabilités qui ne sont pas intentionnelles - les gouvernements de tous les pays, Israel et les USA compris, ont des équipes entières qui accumulent des zero day non publiques, pour pouvoir les utiliser un jour. Et comme certains commentaires le pointent justement, des vulnérabilités sur des systèmes propriétaire mettent beaucoup de temps à émerger, si elles émergent, car peu de gens ont l'occasion de passer le regard au travers du code source.
Quand tu as énuméré l'axe du mal, tu as oublié de mentionner les USA. Ce ne serait pas une première pour eux de faire ce genre de chose.
De plus, il n'y a pas de perte de confiance. Les choses vont, plutôt, être scrutées encore plus à la recherche de ce genre de chose.
Axe du mal = second degré. Tu as entièrement raison, le modus operandi est compatible avec les USA, c'est le motif qui ne l'est pas.
Pour ce qui est de la perte de confiance: Quand même, une partie du "système" repose sur la confiance envers les intentions des maintainers - pour ce qui est de leurs erreurs, elles sont normalement exposées lors des revues successives qui s'opèrent au cours des distributions. Il n'y a pas de background check sur les contributeurs de linux. Je suis curieux de voir comment cette relative liberté va être conservée - elle me semble être une condition sine qua non pour la plupart de ces travailleurs de l'ombre bénévoles.
@@ZeroDayCybersec c'est facile de trouver des raisons pour les USA : vouloir contrôler/intercepter tout (c'est le but de la NSA non ?)
perso ce qui m'étonne +, c'est que la piste est peut-être volontaire : sachant que cela va être analysé, rien n'interdit à un groupe de faire croire que c'est la chine en premier abord tout en lâchant des indices pour que les enquêteurs pensent ensuite que c'est vers l’Europe tout en étant tout a fait ailleurs, surtout si c'est basé sur des choses aussi futile que l'heure de post des messages.
L'impact sur la confiance oscille des 2 côtés :
du côté négatif,
- XZ a été compromis en prod, ce n'était qu'une question de temps avant que la faille soie déployé partout.
- un gars a cédez à la pression, ce qui est rarement une bonne chose
de l'autre
- XZ n'est pas le noyau
- l'incident permettra d'améliorer les procédures et "apprendre" que la communauté autour du noyau linux n'est pas infaillible à un coût "modeste"
et un bémol : il n'est pas impossible que ce groupe ai aussi compromis d'autres OS en ayant fait engagé la personne nécessaire. l'opensource a permit une + grande lisibilité/vérification que ne l'aurait permit un système fermé.
Le SVR est l'équivalent de la CIA. Pas de la NSA...
Je ne suis pas informaticien j'utilise Windows j'utilise iOS Android j'ai touché un petit peu à Linux mais de loin on utilisateur tout ce que je peux dire c'est que je trouve qu'en ce moment y a beaucoup de cons le de ******* le problème c'est que ces gens-là ils comprennent pas qu'on vit dans le même qu'on vit dans le même bocal alors que ça soit en informatique ou physiquement ou dans la vie réelle tout le mal qu'il peut faire il va finir par retomber sur leur ****** et je n'arrive pas à comprendre pourquoi ce type de personne dépense de son énergie à vouloir obtenir le chaos mais bon ça doit être le propre de la race humaine à la revoyure
Merci pour cette video et ton expertise qui nous permet de voir en 12 minutes un theme qui nous aurait pris bien plus de temps a analyser.
Si je peux me permettre respectueusement une remarque acerbe :
1. fuseau horraire Europe/moyen orient = Russie (car par le passé etc etc etc)
2. L'axe du mal = russie chine corée.
3. FSB ou equivalent par le passé
---
Plus ton analyse technique et resumé sont brillants, plus tes conclusions sont hative, extrement approximatives et meme, je vais me le permettre, dignes d'un simplet.
---
On en parle de Prism (US/UK/Aus/Jap/Canada) ? de Pegasus (Israel), etc etc??? On parle du vrai axe du mal que sont les puissances imperalistes qui sont entrain d'orchestrer un vrai génocide sous nos yeux?
---
Non je n'accepte plus ces lectures, c'est terminé.
Fuseau horraire Europe/Moyen Orient en excluant les pays africains par simplicité :
Les pays traversés par le fuseau horaire Europe/Moyen-Orient sont les suivants :
Îles Åland (Finlande)
Albanie
Andorre
Arménie
Autriche
Azerbaïdjan
Biélorussie
Belgique
Bosnie-Herzégovine
Bulgarie
Croatie
Chypre
République tchèque
Danemark
Estonie
Îles Féroé (Danemark)
Finlande
France
Géorgie
Allemagne
Grèce
Hongrie
Islande
Israel
Irlande
Italie
Kazakhstan (partie occidentale)
Kosovo
Lettonie
Liechtenstein
Lituanie
Luxembourg
Macédoine du Nord
Malte
Moldavie
Monaco
Monténégro
Pays-Bas
Norvège
Pologne
Portugal
Roumanie
Russie (Kaliningrad)
Saint-Marin
Serbie
Slovaquie
Slovénie
Espagne
Suède
Suisse
Syrie
Turquie
Ukraine
Royaume-Uni (Angleterre, Écosse, Pays de Galles, Irlande du Nord)
Vatican
Salut, paraphraser Bush avec l"Axe du mal" relevait du second degré - et en aucun cas d'un fait. Je sens que je le sujet te touche, alors pardon si ce n'était pas clair. Effectivement, dans la recherche en cyber occidentale, on constate quand même des grands pourvoyeurs d'APT parmis ceux qui sont généralement considérés comme les ennemis de l'Occident: La Chine, la Russie, l'Iran et la Corée du Nord. Mais tu as entièrement raison, cette idée, prise dans son sens littéral, est tout a fait incorrecte car les Américains et Israel ne sont pas en reste en la matière. Je reste cependant admiratif de l'ingénuosité et de l'intelligence de tous les acteurs de cette attaque - les attaquants, les maintainers, Andres Freund et les chercheurs qui nous permettent de relater cette histoire. Cela étant dit, pour ce qui est de la recherche de l'attribution, je t'encourage à consulter Krebs et les autres chercheurs qui ont travaillé sur le sujet - et l'analyse des patterns dans les posts ou les commits est une methode fréquemment utilisée - évidemment que les hackers pourraient provenir de tous les pays que tu mentionnes, mais les éléments accumulés - et les motivations - pointent cependant vers nos amis Russes.
@@ZeroDayCybersec Mais n'est-ce pas la démarche habituelle d'aller regarder les heures/dates de commit, etc... Et du coup, au même titre qu'un nom à consonance chinoise, les heures et dates vues pourraient être maîtrisées pour pointer un certain pays, non? J'imagine même qu'un espion pourrait travailler en décalé pendant des années si ça lui permet une meilleure couverture, non (dans le cas où les commits ne seraient pas scriptés, ils seraient alors faits manuellement) ?
Tu as entièrement raison, et c'est d'ailleurs ce qui a été fait dans le début de cette investigation - qui va se poursuivre. Les attaquants ont évidemment masqué ou obfusqué leur IP dans plusieurs de leurs actions, et notamment au début. Mais plusieurs irregularités ont été décelées, ce qui permet d'orienter la recherche hors de Chine. Par ailleurs, on a constaté que des commits avaient été passés pendant les vacances du nouvel an Chinois, par exemple - et rien pendant des périodes d'ordinaire chômées par des attaquants Occidentaux ou Russes. D'autres éléments portent à croire que ce sont des APT non-Chinois ou Russes, comme certains des protocoles de chiffrement utilisés. Le modus operandi, aussi, ainsi que des particularité linguistiques dans certains des échanges. Bref: c'est un faisceau d'éléments qui porte à attribuer cette attaque à un APT Russe, et pas juste une histoire de fuseaux horaires - et nous sommes encore au tout début de l'enquête, gardons un peu de réserve. La seule boussole, selon moi, qu'il faille regarder, c'est qui profite, ou aurait profité de cette vulnérabilité intentionnelle. Je trouve cela passionnant, je pense que toi aussi, mais ça demanderait une vidéo beaucoup plus longue, et ce n'était pas mon ambition. Ça changera peut-être!
@@ZeroDayCybersec l'heure des commits me fait sourire, dans un autre projet, qlq avait pensé que j'étais payé parce que mes push étaient en heure ouvrable. j'ai changé ma procédure pour le faire en heure non ouvrable. si à mon modeste niveau, je fait cela, nul doute qu'un groupe étatique a aussi eu l'idée.
les particularités linguistiques sont une bien meilleur piste parce que en grande partie inconscient
Moi je suis sûr que ça vient du Vatican; les Mollahs n'y sont pour rien
2:00 "je pense m'adresser à des gens qui ne font pas d'informatique", qq qui clic sur "la compromission de xz" connait au minimum linux donc je pense pas qu'il y est bcp de débutant ici, ensuite je trouve dommage de ne pas rentrer dans les détails dotant plus que tu travailles dans ce domaine, il y à énormément de vidéo pour les nouveaux utilisateurs de linux, mais bcp moins surtout en français pour les points plus techniques. Il manque aussi le lien de l'article dans la description. Je précise que je propose juste une éventuelle amélioration 🙂
si moi l algo m as proposer la video, alors que j y conais rien ( j ai deja instaler linux plusieur fois, la premiere fois c etait mandrake dans le debut 2000 , mais comme je comprenais rien aux ligne de commande je desinstalais vite fait puis je reinstalais un autre linux 5 ans apres pour voir si ca avais changer, mais comme ca changeais pas je redesinstalais, etc... ) bref j y connais rien et la video m as plu quand meme
puis le titre mensonger bien putassier : « Linux attaqué à sa source »
La source c'est pas une lib de compression, c'est pas non plus le service d'accès à distance patché par Debian. La source c'est le noyau.
Alors oui on me dira que c'est un jeu de mot mais il est trompeur, particulièrement quand on cherche à s'adresser à des novices.
Salut, je comprend ta perspective. Je publie généralement ces vidéos sur Linkedin auprès de personnes qui sont souvent adjacentes à la technologie - pas necessairement des praticiens. Mon ambition est de vulgariser ces histoires, qui derrière leur technicité sont à mon avis aussi captivantes qu'une bonne enquête policiere. Et elles mettent en exergue des phénomènes importants à comprendre, selon moi, qu'on travaille en technologie, ou non. J'ai remis les liens, comme indiqués dans la vidéo, et je reflechirai dans le futur à faire évoluer la ligne éditoriale en fonction du media. Merci encore.
@@PainterVierax Putassier, t'as pas tort. Je pense toutefois qu'il faut effectivement s'abstraire momentanément de la technicité du sujet - il y a tout ce qu'il faut sur internet pour decortiquer les aspects techniques de cette histoire. Ce qui m'importe ici, ce sont les conséquences et cette confrontation titanesque entre des gens particulièrement talentueux et intelligents. C'est pour cela que je ne renie pas ce titre: Il faut entendre "La Source" non pas sur le plan technique, mais bien sur l'essence de ce qu'est Linux et le logiciel open source.
@@PainterVierax non il l'a bien expliqué, "la source" c'est l'organisation du développement de Linux ...
Très intéressant. Le plus étonnant est que ce soit un ingénieur de chez Microsoft qui se soit étonné du ralentissement de l'OS.
Et qui a eu le temps de creuser pour voir d'où ça venait!
Microsoft contribue énormément à Linux.
Quand ils ont commencé à mettre en place du cloud, les utilisateurs leur ont demandé de pouvoir y mettre du Linux. Pour que tout fonctionne de manière optimale, il leur a fallut faire des modifs dans le noyau pour que l'os supporte mieux la virtualisation. Et ils ont commencé à y mettre les mains... Et à y faire tourner plusieurs de leurs logiciels (serveurs, comme sql server). Comme il doivent garantir la sécurité de leur cloud, une faille dans linux est un problème pour eux, et donc ils surveillent aussi ça. D'autant plus que du code de linux se balade dans windows (et vice versa, compte tenu de ce que j'ai écrit avant) et une vulnérabilité linux peut parfaitement se retrouver dans Windows.
Je ne l'aurais pas mieux dit. Kudos.
Ah mince encore les méchants russes.
Evidement l'autre comique de micro machin a suaté sur le truc qu'il voyait arriver de loin tout à fait par hasard th-cam.com/video/a6uR-iGVh7k/w-d-xo.html
C’est un scandale, je retourne sur HP-UX …> 🚪
J'ai la ref et je suis tout à fait d'accord avec toi - rappelle-toi quand l'armée américaine avait décidé d'utiliser windows NT et Windows for Warships en 2007 - politique desormais abandonnée, et il y a de bonnes raison à cela :D www.wired.com/1998/07/sunk-by-windows-nt/
il me semble que l'Ukraine (qui défonce du site européen au petit déjeuner) ou Israel (qui font des logiciels type pegasus donc clairement dans le sujet) sont aussi dans les tranches horaires.
Complotiiiiiiiiiiiiiiiste .... sacrilege !!!🤣🤣🤣
9:06 Le mec est pas au courant que les pays occidentaux sont largement devant et depuis plus longtemps que les pays qu'il cite ?
9:15 MDR !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
L'axe du mal 😂 ça fait tellement pitié
Je regrette que tu ais pris cette expression au premier degré.
Tout d'abord, je tiens à te remercier pour les éclaircissements très accessibles que tu as fournis sur ce sujet, que beaucoup d'entre nous ignoreront probablement sans ton intervention pour vulgariser le fonctionnement "Open-Source". S'agissant de la seconde partie, où tu exprimes des soupçons sur les intentions de certains pays, à l'exception des nôtres évidemment🤣, je ne suis pas du tout de ton avis. En effet, je crois qu'en tant qu'Européens, et plus encore en tant qu' Anglais et Américains, nous sommes bien plus habiles dans ce genre de manigances sous marines néo libérales, surtout lorsqu'elles visent à entraver l'open source, qui devient une menace sérieuse pour les sociétés à intérêts privés, dont les bénéfices sont mis à mal par la concurrence de l'open source. Je suis convaincu que cette guerre sans nom , ne fera que s'intensifier et sera manipulée de façon encore plus multiple et vicieuse avec l'avènement de l'IA, qui n'en est qu'à ses débuts. En général quand le problème est simple il suffit de se demander a qui profite le crime et ou va l'argent pour savoir qui tire les ficelles.😅
bots ru dans les commentaires tiens !
🤣
Tu chies mal ? C'est les russes.! Ta copine se barre ? C'est les russes ! Il fait froid ? Etc etc etc etc etc
C'est la vie, les hackers russes sont forts et actifs.
Faut redescendre sur Terre. Enoncer une suspicion justifiée c'est juste intelligent et pertinent.
- "Oh mais y a 80% de maghrébins responsables d'attaque au couteau ces 10 dernières années"
- "Ah mais..."
-"Ca veut peut être dire qu'une minorité a des problèmes d'adaptation à nos valeurs occidentales ?"
-"...t'es raciste omg"
Ah oui il est raciste ? Vraiment ? Sûr ?
Ah non mais pas le droit d'énoncer une pensée qui pourrait aller dans le sens des racistes, surtout pas. Imagine donner raison à des gens pareils... ah je dois sacrifier ma pensée critique et ma capacité à réfléchir pour ça ? Aller let's go.
Vous êtes en plein dedans, bien joué.
+1 abonné
continue tes vidéos
Une petite (ironie inside) réaction sur le sujet général Linux/open-source/logiciel libre...
Déjà, même si Linux règne sur le monde des serveurs, il règne d'abord et avant tout pour une question de prix, et pas d'idéologie - on paie un ingé pour mettre au point une lame, même si ça prend trois fois plus de temps qu'une solution propriétaire pour le faire, puis on réplique la configuration sur les centaines de lames du datacenter juste avant de virer l'ingé en question... Une solution propriétaire, en plus du coût des licences par lame, coûte aussi un minimum en maintenance et non pas juste lorsqu'une faille 0-day est trouvée. Dans le monde desktop, Linux, c'est en gros 6% des machines, et c'est partagé sur des dizaines de distros différentes avec leurs ayatollahs respectifs... Quoi qu'on en dise, Linux, ça ne marche dans le grand public que si c'est enterré et invisible (une box, un smartphone, ou le serveur Web auquel on se connecte). Les exceptions ne font pas les règles.
Deuxième point, l'open-source. L'argument en faveur, c'est "tout le monde peut contribuer et relire le code pour s'assurer que ça fait bien ce qu'il faut". Ouais. Sauf que PERSONNE ne relit ce code, ou presque, et c'est bien là le souci. Déjà, il faut le niveau pour être capable de relire ce genre de code, surtout que c'est massivement du C ou du C++ - donc on peut recaler une énorme partie des informaticiens qui ne biberonnent que du Java(script), du Python ou encore des CMS en PHP. Même parmi ceux connaissant effectivement ces deux langages bas niveau, peu sont assez doués pour analyser un code qu'ils n'ont pas écrit : quand on accepte de livrer du code contenant 200 warnings semi-critiques par module et que l'on ne comprend ni la philosophie, ni les concepts avancés de ces langages, c'est difficile de savoir où un code malicieux pourrait bien se cacher !
Ensuite, on a la communauté du "libre". On ne va pas se mentir, c'est encore plus toxique que le forum JV18/25, ce truc. Entre les intégristes façon Stallman ("Sois libre ou sois mort !"), les idéologistes directement issus du communisme façon 68 et les geeks de cave qui vivent d'attention et de validation encore plus qu'une instagrammeuse abonnée aux séjours à Dubaï, ça laisse assez peu d'interlocuteurs ouverts et capables de discuter du VRAI sujet, à savoir du logiciel lui-même. Cette communauté est la raison pour laquelle, lorsqu'il existe douze librairies (incompatibles entre elles) effectuant une tâche donnée, et que l'on a une demande pour une nouvelle fonctionnalité jusque là non implémentée, on se retrouve avec une treizième librairie (toujours incompatible avec les autres) faisant certes cette tâche, mais n'effectuant pas correctement les précédentes... Parce qu'une guerre d'egos a fait que personne n'a voulu "céder" face à un "concurrent" pour fournir un meilleur logiciel à l'utilisateur final, ou même pour simplement changer sa licence de distribution.
Les mecs, il y a une raison si même Linus Torvalds dit que l'intégration continue de Linux est impossible parce que les distributions ne sont pas cohérentes les unes avec les autres...
Chose amusante, les mêmes vont se gargariser du fait qu'on peut customiser leur truc au point de choisir la couleur du reflet dans les boutons. Cool, sauf qu'on s'en tape, 99.99% des gens ne modifieront JAMAIS ce paramètre, qui consomme pourtant du code, de la RAM et de l'énergie, et que beaucoup préfèreront avoir une accélération matérielle digne de ce nom plutôt qu'un gadget qui finit par être dessiné pixel par pixel dans un framebuffer. Phénomène similaire avec les fichiers de configuration "obligatoires", contenant 300 paramètres tous plus obscurs les uns que les autres mais qui est incapable de fonctionner "out-of-the-box" sans aller tripoter ledit fichier au moins une fois. Points bonus quand les mêmes paramètres doivent être recopiés plus ou moins à l'identique (la syntaxe commune, c'est pour les faibles) dans plusieurs fichiers de configuration.
À l'opposé, on a aussi le "code unique", et quoi qu'il se passe, on se retrouve devant un phénomène quasi-religieux de ne pas vouloir faire quelque chose d'autre "parce que ça existe déjà", que personne ne peut réellement y contribuer si ça ne vas pas dans le sens du mainteneur principal, et surtout que personne ne CHERCHE à faire mieux ou à améliorer. Les librairies Qt sont gavées de tels exemples (zlib liée via QByteArray, mais non-exposée, interfaçage avec 7zip.lib, ou encore utilisation du XML dans QSettings). Mais on rejoint ce problème avec cette faille, à savoir poser "xz" comme seule possibilité pour certaines opérations.
Bref, ceux qui contribuent au libre à titre gracieux permettent surtout à des gens de réduire le nombre d'emplois dans l'informatique, donc se sabordent eux-même, tout en permettant en plus de vendre leur travail à des prix prohibitifs via les fameux "contrats de support", les licences "GPL mutables en commercial", les "séminaires de formation" et, de façon générale, l'absence de documentation (ou sa piètre qualité, les ingés - et moi le premier - étant tous des tanches pour rédiger de la doc claire et complète) ou d'intégration (ah, pardon, le "packaging" et la sacro-sainte "installation personnalisée"...). Je bosse dans une boîte où on a UN spécialiste Linux (il est même contributeur kernel), pour des CENTAINES de développeurs Windows. Je ne compte même plus le nombre de fois où on a éclaté du GPL ou équivalent via des trucs "un poil" plus puissants que les licences de la FSF, comme le secret défense. Rien n'est reversé : ni code corrigé, ni améliorations, ni le moindre centime. Pour ma part, j'ai par exemple corrigé des trucs dans QQuaternion, ben ça reste sur mon projet et ça n'en sortira pas. Je ne compte même plus le nombre de bugs que j'ai corrigé (ou d'améliorations effectuées) dans Qt... Dans le même temps, on paie des licences commerciales rubis sur l'ongle, mais contrairement au libre, j'ai une réponse du support dans la journée - le plus long fut deux semaines, avec fourniture d'un patch + correction ajoutée à la version suivante du produit. Les tickets sur les logiciels libres ? Je n'en fait même plus : ça prend des MOIS pour avoir un accusé-réception (puis deux secondes pour avoir le refus parce que ça n'entre pas dans la matrice mentale du mainteneur).
Je ne dis pas que faire du logiciel libre (du vrai, façon MIT, pas façon GPL) est mauvais, j'en ai fait moi-même. Je dis qu'il faut le faire par volonté de filer un coup de main, et pas pour tenter de battre qui que ce soit ni pour tenter d'imposer une quelconque idéologie. Il faut le faire comme on diffuse un algo intéressant, ou comme on peut résoudre les problèmes des gens sur Stack Overflow ou similaire : par plaisir. À partir du moment où on commence à parler pognon, ou à "devoir" du code et/ou du temps de travail, ça pue. Parce qu'on ne peut pas assurer un support comme une entreprise commerciale, que certains d'entre nous ont une famille et/ou un métier pour pouvoir bouffer, et que si le logiciel devient "fiable", il SERA récupéré commercialement. Et prendre de l'aide tierce aboutira systématiquement soit à une surchage de travail pour le mainteneur, soit à des failles de sécurité comme celle de "xz". On peut aussi légitimement se poser la question de savoir s'il est éthique de faire du fric sur le boulot fait gracieusement par des geeks et nerds divers et variés, mais le souci n'est pas l'éthique, mais la légalité... Or, imposer une licence virale comme la GPL, ou des interdictions d'utilisation commerciale, n'est qu'un leurre destiné à filer un faux sentiment de "sécurité" - je garantis que ces licences sont défoncées comme des ados rebelles dans un slasher, et au QUOTIDIEN, parce que PERSONNE n'est capable d'aller vérifier leur mésusage, et que le client final a tout intérêt à ne pas s'en plaindre vu que le prix qu'il paie sera largement majoré sinon. Et on parle de projets chiffrés en millions d'euros, hein, pas du prix d'une licence Word.
Bref, le libre et/ou l'open-source, c'est bien, mais faire tourner des systèmes critiques avec, c'est clairement aussi dangereux que prendre un logiciel iranien/israëlien/chinois binaire et l'exécuter sans se poser la question de savoir d'où il vient. Aucun des deux n'est bon, parce qu'aucun des deux n'est exempt de failles liées au social engineering et que c'est actuellement la faille de sécurité la plus importante qui soit.
C'est tout de même gros le mec de microsoft qui est là on ne sait pas pourquoi et qui met le gdoigt sur un raletissement en SSH trop gros comme pilule.
Par contre ca fait des ans que les "petits mous" ne cessent de tenter de tapper sur l'open source et de sa surveillance qui serait sa 1ere faiblassie et la PIF poil par hasard un mec de chez eux découvre.... non mais .
Putaclick + ne mets du tout pas en cause la France ou les États-Unis
C'est une bombe, le commun des mortels ne s'en rendent peut-être pas vraiment compte, ça touche la planète, d'un point de vue économique, intellectuel et même politique,😮 j'ose espérer qu'un "pansement" va vite etre mis en place, mais surtout, aussi redoubler de vigilance, et réfléchir à un modèle de décentralisation et contribution par block style Bitcoin, qui lui aussi d'ailleurs a besoin d'un nouveau p'tit frère aussi magique et impalpable repensé façon "stop Black Rock" pour un monde plus juste, car ça va de paire, la fed, les banques centrales, leurs dirigeants non élus, dispensable, en toute impunité, le SCAM des Fiats et bientôt l'euro / dollars numérique centralisés sont mauvais pour l'humanité et sont tout aussi dangereux que des Hackers Russes ou non d'ailleurs....
Merci pour ta contribution informative plus qu'intéressante 🙏